Full paper (pdf) - CDC
Full paper (pdf) - CDC
Full paper (pdf) - CDC
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
3.5.2 Eine Variante des Verfahrens<br />
Das im vorigen Abschnitt geschilderte Verfahren hat einige Nachteile, die wir<br />
hier diskutieren wollen. Abschließend stellen wir eine eigene Variante vor, die<br />
zumindest zwei dieser Nachteile behebt.<br />
• es existiert kein Sicherheitsbeweis für das vorgestellte Verfahren. In der<br />
Tat wird es von Frankel, Gemmell, MacKenzie und Yung lediglich als<br />
Heuristik bezeichnet [FGPY97]. Darauf aufbauend entwickeln sie noch<br />
ein weiteres Verfahren, dessen Sicherheit auf das RSA-Verfahren zurückgeführt<br />
werden kann, welches allerdings Interaktionen zwischen den Teilnehmern<br />
benötigt, weshalb wir uns in dieser Arbeit nicht weiter damit<br />
beschäftigen wollen. Trotz der fehlenden beweisbaren Sicherheit ist das<br />
Verfahren von anderen Autoren aufgegriffen worden [MSY00] und wurde<br />
zum Beispiel auch im Rahmen eines von der TU Darmstadt und der<br />
japanischen Telefongesellschaft NTT gemeinsam entwickelten verteilten<br />
RSA-Zeitstempeldienstes eingesetzt [ABF + 99].<br />
• die Schlüsselanteile, die den Teilnehmern zugestellt werden, sind keine<br />
normalen RSA-Schlüssel. Die Exponenten, die bei den partiellen RSA-<br />
Berechnungen zum Einsatz kommen, sind aufgrund der Multiplikationen<br />
zum Herstellen der Teilbarkeit um einige Bit länger als normale RSA-<br />
Exponenten und aufgrund der Interpolationskoeffizienten teilweise auch<br />
negativ. Beides erschwert den Einsatz von kryptographischen Bibliotheken<br />
oder Hardwareimplementierungen für RSA-Berechnungen. Insbesondere<br />
entfällt die Möglichkeit der sicheren Speicherung der Teilschlüssel auf<br />
RSA-fähigen Chipkarten.<br />
• zum Berechnen der Teilergebnisse müssen die Teilnehmer der Berechnung<br />
bekannt sein (die Menge Λ). Wenn sich erst später herausstellt, daß einige<br />
Teilnehmer nicht zur Verfügung stehen, müssen alle Teilnehmer die Berechnung<br />
wiederholen. Das Problem vergrößert sich noch in Anbetracht<br />
des nächsten Kritikpunktes.<br />
• ein vorliegendes Teilergebnis läßt sich nicht auf Korrektheit überprüfen.<br />
Ein fehlerhaftes Ergebnis wird erst nach der Kombination aller Teilergebnisse<br />
erkannt, ohne daß allerdings bekannt wäre, welche der Teilergebnisse<br />
zum Fehler geführt haben. Dies macht es sehr schwierig, einen fehlerhaft<br />
arbeitenden Teilnehmer zu erkennen und auszuschließen.<br />
In unserer Implementierung haben wir eine Variation des Verfahrens entwickelt,<br />
bei der den Teilnehmern gewöhnliche RSA-Schlüssel zugeteilt werden,<br />
mit denen sie die partiellen Berechnungen durchführen können. Die Teilergebnisse<br />
können dann in beliebigen Kombinationen zusammengeführt werden, ohne<br />
daß Neuberechnungen durch die Teilnehmer notwendig werden. Damit sind<br />
zwei der angesprochenen vier Mängel behoben. Das Problem einen fehlerhaften<br />
Beitrag erkennen zu können wird ebenfalls gemildert, da alle zulässigen<br />
Kombinationen getestet werden können (ohne weitere Beteiligung der eventuell<br />
betrügerischen Teilnehmer). Bestehen bleibt die unbewiesene Sicherheit des<br />
25